CSRF on JSON data
|
|
- Silvana Dangova
- преди 4 години
- Прегледи:
Препис
1 Cross-Site Request Forgery (CSRF) on JavaScript Object Notation (JSON) data Garo Garabedyan, TU-Sofia
2 CSRF Cross-Site Request Forgery (CSRF) е широко използвана уязвимост на уеб страниците. В тази атака атакуващият нарушава цялостта на потребителската сесия с уеб страницата като инжектира заявка по мрежата посредством уеб browser-а на потребителя. Политиката на сигурност на browser-ите позволява уеб адресите да изпращат HTTP заявка до който и да е мрежови адрес. Последната политика позволява атакуващ, който контролира съдържание, което потребителя зарежда, да използва ресурси, които иначе не са под негов или неин контрол:
3 CSRF възможни пътища за атака Ще разделим 3 различни модела на заплаха различаващи се по възможностите на атакуващият: Публикация във форум Уеб атака Мрежова атака
4 CSRF 1/3 атаки 1. Мрежови достъп: Например, ако потребителят е зад защитна стена (firewall), атакуващият е в състояние да накара browser-а на потребителя да изпрати мрежови заявки до други машини зад защитната стена, които машини може да не са пряко достъпни от машината на атакуващият. Дори ако потребителят не е зад защитна стена, заявките носят IP адреса на потребителя и могат да объркат мрежови услуги разчитащи на удостоверение по IP адрес.
5 CSRF 2/3 атаки 2. Прочитане на състоянието на browser-а: Заявки изпратени чрез browser-а по принцип включват състоянието на browser-а като cookie-та, клиентски сертификати и основни удостоверационни header-и. Уеб страници, които разчитат на тези удостоверения може да бъдат объркани от такива заявки.
6 CSRF 3/3 3. Промяна на състоянието на browser-а: Когато атакуващият накара browser-а да изпрати мрежова заявка, browser-ът също обработва отговора. Например, ако отговорът съдържа Set-Cookie header, browser-ът ще измени своят регистър с cookie-та.
7 CSRF browser's server of origin Уеб browser-ите имат политика наречена server of origin, която регулира достъпа на скриптове до cookie-та и XMLHttpRequest заявки до сървъри. Тази политика е силно ограничена в критериите за еквивалентност на домейн. Домейнът е идентифициран само по първата част от URL-а без опит да се определи дали един и същ IP адрес е зад двата домейна.
8 CSRF browser's server of origin Следващата таблица показва няколко достатъчни примера как мисли мoделът за сигурност на browser-а:
9 CSRF защита Има разнообразни начини за защита от CSRF, но найобщото е повторно изпращане на удостоверяващата автентичност заглавна част на заявката (в повечето случаи това е cookie) най-малко за всички заявки, които водят до промяна на състояние на потребителската сесия. В CSRF атакуващият няма достъп до оторизационните данни (под формата на уникален ключ за сесията съдържаща се най-често в cookie, който на сървъра отговаря на потребителя и така на неговите данни и права), а само използва поведението на browser-а при заявка до даден адрес да прикача към заявката cookie-тата принадлежащи към домейна на страницата.
10 JavaScript Demo
11 JSON JavaScript Object Notation (JSON) е лек текстово базиран езиконезависим формат за обмяна на данни.
12 JSON vs. XML
13 CSRF JSON vulnerability Уязвимостта се използваше злонамерено в следният сценарий: 1. (CSRF уязвимост) Жертвата влиза в злонамерена страница докато е логната в Gmail. Злонамерената страница използвайки HTML таг <script> зарежда JSON данните за адресната книга на жертвата от Gmail. 2. (JSON уязвимост) Посредством предварително презаписан конструктор на JavaScript масива (обекта Array) злонамерената страница успява да прочете така заредените в предишната точка данни.
14 CSRF JSON vulnerability Demo
15 CSRF JSON vulnerability Заключение Въпреки че в JSON не се намира създаване на масив посредством new Array(размер на масива/ елементи), съществуват такива лоши практики в обикновен JS код излагащи на опасност данните конструирани по такъв начин.
ЕВРОПЕЙСКИ СЪЮЗ Европейки фонд за регионално развитие Инвестираме във вашето бъдеще ОПЕРАТИВНА ПРОГРАМА Развитие на конкурентоспособността на българск
BG161PO003-1.1.06-0022-C0001 Ръководство за работа със системата Този документ е създаден с финансовата подкрепа на Оперативна програма на българската икономика 2007-2013, съфинансирана от Европейския
ПодробноMicrosoft Word - Techn zad 2017-M1
ТЕХНИЧЕСКА СПЕЦИФИКАЦИЯ за предоставяне на достъп до специализирана уеб-базирана електронна платформа, позволяваща провеждане на Национално онлайн външно оценяване на дигиталните компетентности на учениците
ПодробноКак да се предпазим в интернет пространството?
Интернет заплахи Видове заплахи в интернет пространството Лектор: Стефан Тафков Интернет заплахи Защо да се предпазваме Компрометиране сигурността на системата Инциденти по време на сърфиране Индустриален
ПодробноПРИМЕРЕН ГРАФИК ЗА ОБУЧЕНИЯТА по Национална програма Обучение за ИТ кариера График на учебните занятия за ученици, които са в XII клас през учебната 2
ПРИМЕРЕН ГРАФИК ЗА ОБУЧЕНИЯТА по Национална програма Обучение за ИТ кариера График на учебните занятия за ученици, които са в XII клас през учебната 2019/2020 г. и ще се обучават за трета година по Националната
ПодробноЕВРОПЕЙСКА КОМИСИЯ ГЕНЕРАЛНА ДИРЕКЦИЯ ИНФОРМАТИКА Компонент, свързан с изпълнението на политиката по инициативата WiFi4EU Ръководство за прилагане v1.
ЕВРОПЕЙСКА КОМИСИЯ ГЕНЕРАЛНА ДИРЕКЦИЯ ИНФОРМАТИКА Компонент, свързан с изпълнението на политиката по инициативата WiFi4EU Ръководство за прилагане v1.0 Съдържание 1. Въведение... 2 2. Поддържани браузъри...
ПодробноSlide 1
ФИШИНГ Какво е фишинг (на англ. phishing )? Фишинг ( phishing ) зарибяване, произлиза от fishing риболов, защото електронните съобщения, които се разпращат, са като въдици. Престъпниците създават имейл
ПодробноSem 6
Дипломантски семинар Оформление на научния труд Препоръки за оформление отнасят се до писмен (печатен) научен текст някои препоръки са валидни по принцип, някои са специфични за България не се отнася до
ПодробноN21mobile Политика за бисквитки За екипа на Network TwentyOne е от изключително значение да защитим от посегателства Вас и Вашите данни, които събирам
N21mobile Политика за бисквитки За екипа на Network TwentyOne е от изключително значение да защитим от посегателства Вас и Вашите данни, които събираме онлайн (анонимни или други). В тази секция ще научите
ПодробноРъководство за употреба на Мобилно приложение - Портал за Дистанционно обучение СЪДЪРЖАНИЕ 1. Какво Ви дава мобилната версия на Портала за Дистанционн
Ръководство за употреба на Мобилно приложение - Портал за Дистанционно обучение СЪДЪРЖАНИЕ 1. Какво Ви дава мобилната версия на Портала за Дистанционно обучение на НИП 2. Инсталиране на мобилното приложение
ПодробноDistributed WPA PSK security audit Александър Станев OpenFest 5-6 XI 2011 Интерпред, София
Distributed WPA PSK security audit Александър Станев OpenFest 5-6 XI 2011 Интерпред, София Криптографски основи на WPA/WPA2 auth Няма разлика в процеса на оторизация при WPA и WPA2 Масово се използва предварително
ПодробноMicrosoft Word - TB201L.doc
TB-201L е самостоятелно мрежово устройство, предназначено да измерва температура отдалечено и да уведомява чрез е-mail, SMS или по UPD при излизане на измерената стойност извън предварително зададен интервал,
ПодробноPowerPoint Presentation
RegiX Среда за междурегистров обмен Текущо състояние и бъдещо развитие Николай Минев Директор на дирекция Информационни системи и оперативна съвместимост, RegiX технология, функционалности, възможности
ПодробноDOT NET 3.1
.NET технологии Изграждане на уеб приложения с ASP.NET Forms Управление на състоянието (state) State Повечето приложения използват данни (променливи), които трябва да се съхранят по време на няколко заявки
ПодробноIP150 Интернет Модул Ръководство за потеребителя V1.3 - IP150-EU02 02/2015 Представяне Интернет модул IP150 е интернет комуникационен
IP150 Интернет Модул Ръководство за потеребителя V1.3 - IP150-EU02 02/2015 Представяне Интернет модул IP150 е интернет комуникационен модул позволяващ Ви да наблюдавате и контролирате алармената си система
ПодробноPowerPoint Presentation
Port Knocking с RouterOS Допълнително ниво на защита за вашата мрежа Добри Бояджиев Опит с MikroTik RouterOS 2008 I -ва MikroTik Академия (УниБИТ) 2014 Основи на MikroTik RouterOS 2016 Инструктор (Train
ПодробноПо повод Европейската година на културното наследство 2018 Центърът за развитие на човешките ресурси, Информационният център Европа Директно София и Е
По повод Европейската година на културното наследство 2018 Центърът за развитие на човешките ресурси, Информационният център Европа Директно София и Европейският потребителски център България ОРГАНИЗИРАТ
ПодробноПартида: ПРЕДВАРИТЕЛНО ОБЯВЛЕНИЕ ЗА ОБЩЕСТВЕНА ПОРЪЧКА (версия 4) АГЕНЦИЯ ПО ОБЩЕСТВЕНИ ПОРЪЧКИ 1000 София, ул. Леге 4 факс: ro
АГЕНЦИЯ ПО ОБЩЕСТВЕНИ ПОРЪЧКИ 1000 София, ул. Леге 4 факс: 940 7078 e-mail: rop@aop.bg, e-rop@aop.bg интернет адрес: http://www.aop.bg ПРЕДВАРИТЕЛНО ОБЯВЛЕНИЕ ЗА ОБЩЕСТВЕНА ПОРЪЧКА ДЕЛОВОДНА ИНФОРМАЦИЯ
ПодробноMicrosoft PowerPoint - Windows2003 RRAS.ppt
Windows2003 Remote Access Христо Вълчанов hristo@tu-varna.acad.bg Remote Access конекции LAN Remote Access Protocols LAN Protocols Remote Access Protocols Internet LAN Protocols Remote Access сървър Remote
ПодробноРъководство за печат през AirPrint Вариант 0 BUL
Ръководство за печат през irprint Вариант 0 BUL Дефиниции на бележките В настоящото ръководство за потребителя използваме следните икони: Забележка Забележките ви казват какво да направите в дадена ситуация
ПодробноНАРЕДБА 4 от 31 май 2019 г. за специализираната електронна система за проследяване и анализ на лекарствените продукти Раздел I Общи положения Чл. 1. С
НАРЕДБА 4 от 31 май 2019 г. за специализираната електронна система за проследяване и анализ на лекарствените продукти Раздел I Общи положения Чл. 1. С тази наредба се уреждат условията и редът за: 1. предоставяне,
ПодробноОписание на интерфейсите за комуникация с ЕСТИ Автоматизирано подаване на данни за туристически регистрации към Единната система за туристическа инфор
Описание на интерфейсите за комуникация с ЕСТИ Автоматизирано подаване на данни за туристически регистрации към Единната система за туристическа информация (ЕСТИ) е възможно по следните канали: Подаване
Подробноdocument
АГЕНЦИЯ ПО ОБЩЕСТВЕНИ ПОРЪЧКИ 1000 София, ул. Леге 4 факс: 940 7078 e-mail: rop@aop.bg, e-rop@aop.bg интернет адрес: http://www.aop.bg РЕШЕНИЕ Проект на решение Решение за публикуване Номер: БТГ-РД-07-59А
ПодробноРъководство на ползвателите
Ръководство на ползвателите Съдържание I. ВЪВЕДЕНИЕ... 3 II. ТЕРМИНОЛОГИЧЕН РЕЧНИК... 3 III. ВХОД В СИСТЕМАТА... 3 1. Вход в системата... 3 IV. МОДУЛ УДОСТОВЕРЕНИЯ... 4 1. Модул Удостоверения... 4 2. Ново
ПодробноПредложения за допълнение и изменение на проекта за Наредба за Административния регистър Боян Юруков 16 октомври 2014 Боян Юруков 1/8
Предложения за допълнение и изменение на проекта за Наредба за Административния регистър Боян Юруков 16 октомври 2014 Боян Юруков 1/8 Точките включени в това предложение целят увеличаване на ефективната
ПодробноПРИЛОЖЕНИЕ 1 Институционална информация нормативна уредба, функции, услуги, информационни масиви 1 (Сравнителни данни на резултатите от 2017 г
ПРИЛОЖЕНИЕ 1 Институционална информация нормативна уредба, функции, услуги, информационни масиви 1 (Сравнителни данни на резултатите от г. - г. и резултати от оценка на Интернет страниците на 564 институции
Подробноdocument
Проект на решение Решение за публикуване Номер: 1619 от 16/02/2015 дд/мм/гггг РЕШЕНИЕ А) за откриване на процедура Б) за промяна В) за прекратяване на процедура за възлагане на обществена поръчка Обектът
Подробно119. СРЕДНО УЧИЛИЩЕ АКАДЕМИК МИХАИЛ АРНАУДОВ СОФИЯ 1113, УЛ. ЛАТИНКА 11, , ВЪТРЕШНИ ПРАВИЛА ЗА ИЗПОЛЗВАН
ВЪТРЕШНИ ПРАВИЛА ЗА ИЗПОЛЗВАНЕ НА ПРЕДОСТАВЕНИТЕ ОТ 119. СУ СЛУЖЕБНИ ПОЩИ И АКАУНТИ ОБЩИ ПОЛОЖЕНИЯ чл. 1 (1) Настоящите вътрешни правила определят правата, задълженията и отговорностите на потребителите
ПодробноLuncherBox - Интерактивно Меню Симо Георгиев Александров и Любо Ивайлов Любчев Февруари
LuncherBox - Интерактивно Меню Симо Георгиев Александров и Любо Ивайлов Любчев Февруари 2019 1 Абстракт Luncher Box - Интерактивно Меню е уеб приложение, което цели поръчването на храна от клиенти в ресторанти
ПодробноРъководство за уеб свързване Вариант 0 BUL
Ръководство за уеб свързване Вариант 0 BUL Приложими модели Настоящото ръководство за потребителя се отнася за следните модели. DCP-8250DN/MFC-8950DW(T) Дефиниции на бележките В настоящото ръководство
ПодробноSlide 1
Методи и алгоритми за моделиране, симулация и оптимизация на полупроводникови сензори Венцеслав Шопов E-mail: vkshopov@yahoo.com BG051PO001-3.3.06-0002 Цел на дисертационния труд е да се създаде софтуерна
ПодробноПартида: РЕШЕНИЕ (версия 4) Проект на решение 53 Решение за публикуване Номер: 26 от 29/03/2016 дд/мм/гггг РЕШЕНИЕ А) за откриване на процедура
Проект на решение 53 Решение за публикуване Номер: 26 от 29/03/2016 дд/мм/гггг РЕШЕНИЕ А) за откриване на процедура Б) за промяна 6 3В) за прекратяване на процедура за възлагане на обществена поръчка Обектът
ПодробноНАУЧНИ ТРУДОВЕ НА РУСЕНСКИЯ УНИВЕРСИТЕТ , том 49, серия 3.2 Един подход за обработка и конвертиране на векторни изображения в WEB-базираните сис
Един подход за обработка и конвертиране на векторни изображения в WEB-базираните системи Цветан Христов Христов An Approach for Vector Graphics Manipulation and Conversion in the WEB-Based Systems: In
ПодробноТЕХНИЧЕСКИ УНИВЕРСИТЕТ СОФИЯ НИЛ ПО КОМПЮТЪРНА ГРАФИКА И ГИС СОФТУЕРНА ГРУПА АКСТЪР тел./факс(02) , (02) ; E-MAI
ТЕХНИЧЕСКИ УНИВЕРСИТЕТ СОФИЯ НИЛ ПО КОМПЮТЪРНА ГРАФИКА И ГИС СОФТУЕРНА ГРУПА АКСТЪР тел./факс(02) 965-3469, (02) 965-2422; HTTP://WWW.ACSTRE.COM E-MAIL: OFFICE@ACSTRE.COM АКСТЪР Портал за електронни административни
Подробноdocument
АГЕНЦИЯ ПО ОБЩЕСТВЕНИ ПОРЪЧКИ 1000 София, ул. Леге 4 факс: 940 7078 e-mail: rop@aop.bg, e-rop@aop.bg интернет адрес: http://www.aop.bg ПРЕДВАРИТЕЛНО ОБЯВЛЕНИЕ ЗА ОБЩЕСТВЕНА ПОРЪЧКА ДЕЛОВОДНА ИНФОРМАЦИЯ
ПодробноICS Natioanal
РЪКОВОДСТВО ЗА ВЪНШНИ ПОТРЕБИТЕЛИ Март 2019 г. История на промените Дата Версия Описание Автор 28.09.2018 1.0 Ръководство за потребителя ИО АД 07.03.2019 2.0 Ръководство за потребителя ИО АД СЪДЪРЖАНИЕ:
Подробно04 Chastichna ocenka na vuzdeistvieto
Приложение 1 към чл. 16 от Наредбата за обхвата и методологията за извършване на оценка на въздействието Формуляр за частична предварителна оценка на въздействието* (Приложете към формуляра допълнителна
Подробноdoll Механична кукла Механичните кукли автоматично повтарят предварително зададена последователност от движения. В Япония има традиции в изработката н
doll Механична кукла Механичните кукли автоматично повтарят предварително зададена последователност от движения. В Япония има традиции в изработката на механични кукли, датиращи от древни времена. Движенията
Подробно